14アプリケーション・ユーザーに対するロールのプロビジョニング

この章の内容は次のとおりです。

• ロール・マッピング

• ロール・マッピングの作成

• ロール・マッピングの例

• ロールのプロビジョニングとプロビジョニング解除

• 自動プロビジョニング

• ロール・マッピングの編集に関するガイドライン

• HCMでのユーザーおよびロールのプロビジョニングのベスト・プラクティス

• アプリケーション・ユーザーに対するロールのプロビジョニングに関するFAQ

ロール・マッピング

ロールにより、ユーザーはデータおよび機能にアクセスできます。ユーザーにロールをプロビジョニングするには、ロール・マッピングと呼ばれる、ロールといくつかの条件との関係を定義します。このトピックでは、ユーザーにロールを自動および手動でプロビジョニングする方法について説明します。「設定および保守」作業領域の「ロール・プロビジョニング・ルールの管理」タスクを使用します。

ノート: すべてのロール・プロビジョニングでは、ロールをプロビジョニングする要求が生成されます。これらの要求が正常に処理された場合にのみ、ロール・プロビジョニングが完了します。

ユーザーへのロールの自動プロビジョニング

ロール・プロビジョニングは、次の場合に自動的に発生します。

• ユーザーのアサイメントのうち少なくとも1つが、すべてのロール・マッピング条件を満たしている。

• ロール・マッピングで、ロールの「自動プロビジョニング」オプションを選択する。

たとえば、財務部門の営業マネージャ・データ・ロールの場合、「自動プロビジョニング」オプションを選択し、次の表に示す条件を指定できます。

属性	値
部門	財務部門
ジョブ	営業マネージャ
HRアサイメント・ステータス	アクティブ

アサイメントの作成または更新のいずれかが行われると、これらの条件のすべてを満たしているアサイメントを少なくとも1つ持つユーザーは、ロールを自動的に取得します。プロビジョニング・プロセスでは、ロール・マッピング条件を満たさなくなったユーザーからのプロビジョニング済ロールの自動的な削除も行われます。

ユーザーへのロールの手動プロビジョニング

ライン・マネージャなどのユーザーは、次の場合に他のユーザーにロールを手動でプロビジョニングできます。

• ロール(ライン・マネージャなど)をプロビジョニングしているユーザーのアサイメントのうち少なくとも1つが、すべてのロール・マッピング条件を満たしている。

• ロール・マッピングで、ロールの「要求可能」オプションを選択する。

たとえば、トレーニング・チーム・リーダー・データ・ロールの場合、「要求可能」オプションを選択し、次の表に示す条件を指定できます。

属性	値
部下を持つマネージャ	はい
HRアサイメント・ステータス	アクティブ

両方の条件を満たすアサイメントを少なくとも1つ持つ任意のユーザーは、他のユーザーに対してトレーニング・チーム・リーダー・ロールを手動でプロビジョニングできます。

すべての雇用関係が終了される、またはロールを手動でプロビジョニング解除するまで、ユーザーは手動でプロビジョニングされたロールのままになります。

ユーザーからのロール要求

ユーザーは、次の場合に自身のアカウントを管理する際にロールを要求できます。

• ユーザーのアサイメントのうち少なくとも1つが、すべてのロール・マッピング条件を満たしている。

• ロール・マッピングで、ロールの「自己要求可能」オプションを選択する。

たとえば、経費報告者データ・ロールの場合、「自己要求可能」オプションを選択し、次の表に示す条件を指定できます。

属性	値
部門	財務部門
システムPersonタイプ	従業員
HRアサイメント・ステータス	アクティブ

これらの条件を満たすアサイメントを少なくとも1つ持つ任意のユーザーは、ロールを要求できます。自己要求されたロールは、手動プロビジョニングとして定義されます。

すべての雇用関係が終了される、またはロールを手動でプロビジョニング解除するまで、ユーザーは手動でプロビジョニングされたロールのままになります。

ロール・マッピング名

ロール・マッピング名は、企業内で一意である必要があります。各ロール・マッピングのスコープを示すネーミング・スキームを考案します。たとえば、営業の自動プロビジョニング済ロールというロール・マッピングには、営業部門の就業者に自動的にプロビジョニングされたすべてのロールが含まれます。

ロール・マッピングの作成

ユーザーにロールをプロビジョニングするには、ロール・マッピングを作成します。このトピックでは、ロール・マッピングの作成方法について説明します。

ITセキュリティ・マネージャとしてサインインし、次のステップを実行します。

1. 「設定および保守」作業領域で、次の項目に移動します。

   • 機能領域: ユーザーおよびセキュリティ

   • タスク: ロール・プロビジョニング・ルールの管理

2. 「ロール・マッピングの管理」ページの「検索結果」セクションで、「作成」をクリックします。

   「ロール・マッピングの作成」ページが開きます。

ロール・マッピング条件の定義

「条件」セクションに値を設定して、ロール・マッピングの適用タイミングを指定します。たとえば、この表に示されている値は、ジョブがチーフ・バイヤーでデンバーにある調達部門の現在の従業員にマッピングを限定しています。

フィールド	値
部門	調達部門
ジョブ	チーフ・バイヤー
事業所	デンバー
システムPersonタイプ	従業員
HRアサイメント・ステータス	アクティブ

ユーザーには、これらすべての条件を満たすアサイメントが少なくとも1つ必要です。

ロールの識別

1. 「関連ロール」セクションで、「行の追加」をクリックします。

2. 「ロール名」フィールドで、プロビジョニングしているロールを検索して選択します。たとえば、「デンバーの調達アナリスト」というデータ・ロールを検索します。

3. この表に示されているロール・プロビジョニング・オプションを1つ以上選択します。

   ロール・プロビジョニング・オプション	説明
   要求可能	条件を満たすユーザーは、他のユーザーにロールをプロビジョニングできます。
   自己要求可能	条件を満たすユーザーは、ロールを自身のために要求できます。
   自動プロビジョニング	条件を満たすユーザーは、ロールを自動的に取得します。

   条件を満たすユーザーには、ロール・マッピング条件を満たすアサイメントが少なくとも1つあります。

   ノート: デフォルトでは、「自動プロビジョニング」が選択されています。自動プロビジョニングを行わない場合は、選択解除するのを忘れないでください。

   「委任許可」オプションは、ロールを持つユーザーまたは他のユーザーにロールをプロビジョニングできるユーザーが、ロールを委任することもできるかどうかを示します。この値はロール定義の一部であり、変更できません。ロール・マッピングにロールを追加する際に、委任を許可するロールを検索できます。

4. 必要に応じて、「関連ロール」セクションにさらに行を追加し、プロビジョニング・オプションを選択します。ロール・マッピング条件は、このセクションのすべてのロールに適用されます。

5. 「保存してクローズ」をクリックします。

自動プロビジョニングの適用

ロール・マッピングを作成または編集した後、および個人レコードを一括してロードした後に、「すべてのユーザーの自動プロビジョニング・ロール」プロセスを実行することをお薦めします。このプロセスでは、現在のすべてのユーザー・アサイメントが現在のすべてのロール・マッピングと比較され、適切な自動プロビジョニング要求が作成されます。

ロール・マッピングの例

ユーザーにロールを自動的または手動でプロビジョニングする必要があります。このトピックでは、自動および手動のロール・プロビジョニングをサポートするための一般的なロール・マッピングの例を示します。

従業員のロール・マッピングの作成

すべての従業員は、採用日から自動的に「従業員」ロールを持っている必要があります。さらに、経費を請求する従業員は、経費レポート・データ・ロールを要求する必要があります。

「すべての従業員」というロール・マッピングを作成し、この表に示す条件を入力します。

属性	値
システムPersonタイプ	従業員
HRアサイメント・ステータス	アクティブ

ロール・マッピングに、次のものを含めます。

• 「従業員」ロールを含め、「自動プロビジョニング」オプションを選択します。

• 経費レポート・ロールを含め、「自己要求可能」オプションを選択します。

ライン・マネージャのロール・マッピングの作成

どのタイプの就業者も、営業ビジネス・ユニットのライン・マネージャになることができます。営業BUのライン・マネージャというロール・マッピングを作成し、この表に示す条件を入力します。

属性	値
ビジネス・ユニット	営業
HRアサイメント・ステータス	アクティブ
部下を持つマネージャ	はい

「ライン・マネージャ」ロールを含め、「自動プロビジョニング」オプションを選択します。ロール・マッピング条件を満たすアサイメントが少なくとも1つある就業者は、ロールを自動的に取得します。

同じロール・マッピングでは、ライン・マネージャが次を実行できるロールを含めることができます。

• 他のユーザーに手動でプロビジョニングする。

  これらのロールに対して「要求可能」オプションを選択します。

• 自身のために要求する。

  これらのロールに対して「自己要求可能」オプションを選択します。

ヒント: 「部下を持つマネージャ」は、常にライン・マネージャを意味します。「マネージャ・タイプ」属性を「ライン・マネージャ」に設定することは、「部下を持つマネージャ」を「はい」に設定することと同じです。ロール・マッピングが「ライン・マネージャ」以外のタイプのマネージャに適用される場合は、「部下を持つマネージャ」属性を設定しないでください。

退職(定年他)従業員のロール・マッピングの作成

退職した就業者は、退職アカウントを管理するためにシステムにアクセスできます。すべての退職(定年他)従業員というロール・マッピングを作成し、この表に示す条件を入力します。

属性	値
システムPersonタイプ	退職(定年他)従業員
HRアサイメント・ステータス	非アクティブ

ロール・マッピングに「退職(定年他)従業員」カスタム・ロールを含め、「自動プロビジョニング」オプションを選択します。就業者のアサイメントの少なくとも1つがロール・マッピング条件を満たすと、ロールを自動的に取得します。

ロールのプロビジョニングとプロビジョニング解除

ユーザーにロールをプロビジョニングする必要があります。そうしない場合、データや機能にアクセスできず、アプリケーション・タスクを実行できません。このトピックでは、ロール・マッピングによるロールのプロビジョニングおよびプロビジョニング解除の制御について説明します。「ロール・プロビジョニング・ルールの管理」または「HCMロール・プロビジョニング・ルールの管理」タスクを使用して、ロール・マッピングを作成します。

ロール・プロビジョニングの方法

ユーザーにロールをプロビジョニングできます。

• 自動

• 手動

  • ライン・マネージャなどのユーザーは、ロールを他のユーザーに手動でプロビジョニングできます。

  • ユーザーは自分自身のロールを要求できます。

自動と手動の両方のロールのプロビジョニングで、ユーザーがロールの資格を得る時期を指定するロール・マッピングを作成します。

ロール・タイプ

データ・ロール、抽象ロールおよびジョブ・ロールをユーザーにプロビジョニングできます。ただし、Oracle HCM Cloudユーザーについては、一般的にジョブ・ロールをHCMデータ・ロールに含め、これらのデータ・ロールをプロビジョニングします。

自動ロール・プロビジョニング

少なくとも1つのアサイメントが関連するロール・マッピングの条件を満たした場合、ユーザーは自動的にロールを取得します。プロビジョニングは、就業者アサイメントの作成または更新時に行われます。たとえば、就業者を管理ポジションに昇格する際に、適切なロール・マッピングが存在する場合は、就業者は自動的にライン・マネージャ・ロールを取得します。アサイメントを変更すると、自動的にプロビジョニングされた就業者のロールのレビューおよび更新が行われます。

ロールのプロビジョニング解除

ロール・マッピングの条件を満たさなくなった場合、ユーザーは自動的にプロビジョニングされたロールを失います。たとえば、ライン・マネージャがライン・マネージャであることをやめると、自動的にプロビジョニングされたライン・マネージャ・ロールを失います。また、いつでも自動的にプロビジョニングされたロールを手動で解除できます。

すべての雇用関係が終了した場合のみ、ユーザーは手動でプロビジョニングされたロールを自動的に失います。それ以外の場合は、手動でプロビジョニングを解除するまで、ユーザーは手動でプロビジョニングされたロールを保持します。

退職時のロール

雇用関係を終了すると、ユーザーは資格を失ったすべての自動的にプロビジョニングされたロールを自動的に失います。他の雇用関係がなくなった場合のみ、ユーザーは手動でプロビジョニングされたロールを失います。それ以外の場合は、手動で削除するまで、ユーザーは手動でプロビジョニングされたロールを保持します。

雇用関係を終了するユーザーは、ユーザーがロールを失うタイミングを指定します。プロビジョニング解除は、次のタイミングで発生します。

• 退職日

• 退職日の翌日

未来の退職日を入力した場合、その日または翌日になるまでロールのプロビジョニング解除は行われません。ユーザー・アカウントの管理ページの「過去30日間のロールの要求」セクションは、プロビジョニング解除要求が作成された場合のみ更新されます。セクションのエントリは、処理されるまで残存します。

ロール・マッピングにより、退職時に自動的にユーザーにロールをプロビジョニングできます。たとえば、退職した就業者は、アサイメント・ステータスおよび個人タイプの値に基づいて、退職時に退職者というカスタム・ロールを取得できます。

退職の取消

退職を取り消すと、退職時にユーザーが自動的に取得したロールが削除されます。また、次のようにロールがユーザーにプロビジョニングされます。

• 退職時に自動的に失われた手動でプロビジョニングされたロールが再開されます。

• 退職の取消時に自動プロビジョニング・プロセスが自動的に実行され、現在のロール・プロビジョニング・ルールで指定されたとおりにロールが自動的にプロビジョニングされます。

手動で削除したロールは、適時、手動で再開する必要があります。

アサイメントの有効日の変更

ロールの自動プロビジョニングおよびプロビジョニング解除は、現在のデータに基づいて行われます。将来の昇格など、将来の日付のトランザクションでは、ロールのプロビジョニングは、変更が有効になった日に行われます。「待ち状態のLDAP要求の送信」プロセスでは、将来の日付のトランザクションが識別され、適時でのロールのプロビジョニングおよびプロビジョニング解除が管理されます。これらのロール・プロビジョニングの変更は、システム日付で有効になります。よって、他のタイム・ゾーンにいるユーザーがロールを取得するまで、最大24時間の遅延が発生する可能性があります。

自動プロビジョニング

自動プロビジョニングは、ユーザー・ロールを自動割当または削除することです。個々のユーザーの自動プロビジョニングは、アサイメントを作成または更新するときに発生します。また、「すべてのユーザーの自動プロビジョニング・ロール」プロセスを使用して、企業に対して明示的に自動プロビジョニングを適用することもできます。このトピックでは、企業に自動プロビジョニングを適用した場合の影響について説明します。

自動プロビジョニングによって影響を受けるロール

自動プロビジョニングは、ロール・マッピングで「自動プロビジョニング」オプションが有効になっているロールにのみ適用されます。

「自動プロビジョニング」オプションが有効になっていないロールには適用されません。

「すべてのユーザーの自動プロビジョニング・ロール」プロセス

「すべてのユーザーの自動プロビジョニング・ロール」プロセスでは、現在のすべてのユーザー・アサイメントが現在のすべてのロール・マッピングと比較されます。

• ロール・マッピングの条件を満たすアサイメントが少なくとも1つあるユーザーと、現在、関連ロールがないユーザーは、そのロールを取得します。

• 現在ロールがあっても、関連ロール・マッピング条件を満たさなくなったユーザーは、そのロールを失います。

ユーザーにロールがない場合、ユーザー・アカウントもデフォルトで自動的に休止されます。

このプロセスでは、ロールを追加または削除する要求がただちに作成されます。これらの要求は、「待ち状態のLDAP要求の送信」プロセスによって処理されます。「すべてのユーザーの自動プロビジョニング・ロール」を実行している場合、ロール要求を処理するタイミングを指定できます。ただちに処理するか、バッチとして次回の「待ち状態のLDAP要求の送信」プロセスの実行まで延期できます。特に、数千のロール要求が生成される場合、処理を延期することはパフォーマンスの点では適しています。「生成されたロール要求の処理」パラメータを「いいえ」に設定して、処理を延期します。要求をただちに処理すると、「すべてのユーザーの自動プロビジョニング・ロール」によって、生成されたLDAP要求範囲を識別するレポートが作成されます。要求は要求の有効日に処理されます。

プロセスを実行するタイミング

ロール・マッピングの作成または編集後、「すべてのユーザーの自動プロビジョニング・ロール」を実行することをお薦めします。また、個人レコードのユーザー・アカウントを要求した場合、個人レコードを一括してロードした後に実行する必要があります。ロードする前に適切なロール・マッピングが存在する場合、このプロセスは必要ありません。それ以外の場合、一括してロードされた新しいユーザーにロールをプロビジョニングするために実行する必要があります。どの日も、複数回プロセスを実行しないでください。そうしないと、プロセスで生成されるロール要求の数によって、プロビジョニング・プロセスが遅くなる可能性があります。

「すべてのユーザーの自動プロビジョニング・ロール」のインスタンスは、一度に1つのみ実行できます。

個々のユーザーの自動プロビジョニング

「ユーザー・アカウントの管理」ページで、個々のユーザーに自動プロビジョニングを適用できます。

• ユーザーのロールを自動プロビジョニングするとどうなりますか

• 「待ち状態のLDAP要求の送信」プロセスのスケジュール

ロール・マッピングの編集に関するガイドライン

「ロール・マッピングの編集」ページで、ロール・マッピングを更新できます。開始日と終了日、ロール・マッピング条件および関連ロールの変更は、現在のロール・プロビジョニングに影響する可能性があります。このトピックでは、そのような変更が有効になるタイミングについて説明します。ロール・マッピングを編集するには、「設定および保守」作業領域の「ロール・プロビジョニング・ルールの管理」タスクを実行します。

自動的にプロビジョニングされたロールの変更

自動的にプロビジョニングされたロールの変更は、次のいずれかが発生するとすぐに有効になります。

• 「すべてのユーザーの自動プロビジョニング・ロール」プロセスが実行される。

  このプロセスでは、現在のすべてのユーザー・アサイメントが現在のすべてのロール・マッピングと比較され、必要に応じてロール・プロビジョニングが更新されます。ロール・マッピングを作成するか編集した後に、このプロセスを実行することをお薦めします。また、ロード前に個人レコードにロール・マッピングが存在しない場合は、個人レコードを一括でロードした後にこのプロセスを実行する必要があります。

• 人事(HR)担当者またはライン・マネージャが、ロール・マッピングの影響を受ける個々のユーザーの「ユーザー・アカウントの管理」ページまたは「ユーザーの編集」ページで「自動プロビジョニングの適用」をクリックする。

  この処理では、ユーザーの現在のアサイメントが現在のすべてのロール・マッピングと比較され、必要に応じてユーザーのロールが更新されます。

• HR担当者またはライン・マネージャが、ロール・マッピングの影響を受けるユーザーのアサイメントを作成または更新する。

  これらの処理により、ユーザーのロールが再評価されます。

要求可能ロールの変更

要求可能ロールに対する変更は、ただちに有効になります。ロール・マッピングから要求可能ロールを削除するか、ロール・マッピング条件を変更する場合、次のようになります。

• 現在ロールがあるユーザーは、それを保持します。

  ライン・マネージャなどのユーザーは、他のユーザーに要求可能ロールを手動でプロビジョニングします。すべての雇用関係が終了した場合のみ、ユーザーは手動でプロビジョニングされたロールを自動的に失います。それ以外の場合は、手動でプロビジョニングを解除するまで、ユーザーは手動でプロビジョニングされたロールを保持します。

• 他のユーザーにロールをプロビジョニングできるユーザーは、改訂されたロール・マッピング条件を満たしていないかぎり、これを行うことはできなくなります。

自己要求可能ロールの変更

自己要求可能ロールに対する変更は、ただちに有効になります。ロール・マッピングから自己要求可能ロールを削除するか、ロール・マッピング条件を変更する場合、次のようになります。

• 現在ロールがあるユーザーは、それを保持します。

  すべての雇用関係が終了した場合のみ、ユーザーは手動でプロビジョニングされたロールを自動的に失います。それ以外の場合は、手動でプロビジョニングを解除するまで、ユーザーは手動でプロビジョニングされたロールを保持します。

• ロールを要求できるユーザーは、改訂されたロール・マッピング条件を満たしていないかぎり、これを行うことはできなくなります。

HCMでのユーザーおよびロールのプロビジョニングのベスト・プラクティス

次のベスト・プラクティスとガイドラインでは、HCMでユーザーおよびロールをプロビジョニングするためのプロセスについて説明します。ここで提示するプロセスを使用することが重要である理由を、様々な例とシナリオをとおして説明します。これらのプロセスの適切な実行について理解することで、安定性を確保し、責任を持ってリソースを管理できるようになります。

ユーザーおよびロールのプロビジョニング・プロセス

ユーザーとロールのプロビジョニングには4つのプロセスがあります。これらのプロセスは一度に1つだけ実行してください。これらのプロセスは重複しないようにしてください。プロセスが完了するまでの時間を十分に確保したうえで、別のプロセスをスケジュールするようにしてください。

ユーザーとロールのプロビジョニングには次の4つのプロセスがあります。

• 待ち状態のLDAP要求の送信 - このプロセスでは、ユーザー・アカウントのプロビジョニングに関する要求とユーザー・ロールの追加および削除の要求をLDAPディレクトリに送信します。通常はこれを使用して、一括プロセスによって作成されたプロビジョニング要求を処理し、現在アクティブである先日付の要求も処理します。

• すべてのユーザーの自動プロビジョニング・ロール - このプロセスでは、ロール・プロビジョニング・ルールに照らしてすべてのユーザーを評価します。このプロセスを定期的に実行した場合、パフォーマンス面で環境に大きな影響を与える可能性があります。このプロセスはロール・プロビジョニング・ルールが追加または更新されたときにのみ、随時実行するようにしてください。

• LDAPへの複数ユーザーの個人データの送信 - このプロセスでは、Oracle HCM Cloud個人レコードで一括変更された内容がLDAPディレクトリ・レコードと同期されます。同期されるフィールドは、「名」、「姓」、「Eメール」、「マネージャ」です。通常このプロセスは、個人データを一括ロードした後に実行します。このプロセスを実行して、LDAPディレクトリのマネージャ階層を更新することもできます。

• 最新のLDAP変更の取得 - このジョブでは、Oracle Cloud Applicationsのセキュリティ表をLDAPディレクトリからのデータで更新します。このプロセスは製品更新の完了後に1回実行する必要があります。

プロセス	目的	頻度	備考
待ち状態のLDAP要求の送信	ユーザーおよびロールのプロビジョニング要求の一括処理。	日次 必要に応じて	このジョブは少なくとも1日1回実行するようにスケジュールし、すべての一括ユーザーまたはロール・プロビジョニング要求と、前回の実行以降にアクティブになった先日付の要求が処理されるようにしてください。 このジョブは、HCMデータ・ローダーを使用して就業者またはユーザーを一括ロードした後にも実行する必要があります。
すべてのユーザーの自動プロビジョニング・ロール	非アクティブのユーザーを含む、すべてのユーザーのロール・メンバーシップの評価。	必要に応じて まれ	ロール・マッピング・ルールが追加または変更された場合で、これらのルールをユーザー全体に適用する場合にのみ実行します。 自動ロール・プロビジョニングがユーザー作成時に発生するため、このジョブを定期的にスケジュールする必要はありません。 日次で使用することを想定していません。
LDAPへの複数ユーザーの個人データの送信	Oracle HCM Cloudにおける個人情報の変更をLDAPディレクトリと調整。	必要に応じて まれ	このジョブは、HCMデータ・ローダーのインポートなどの一括プロセスを介して個人データ(名前、マネージャ、Eメール)を変更した後にのみ必要です。 このジョブは一括ロードの完了後に1回実行するようにスケジュールする必要があります。
最新のLDAP変更の取得	Oracle HCM Cloudの個人レコードをLDAPディレクトリから受信したデータで更新。	非常にまれ	日次で使用することを想定していません。

ユーザーおよびロール・プロビジョニング・プロセスの一般的なシナリオ

ユーザーおよびロールのプロビジョニング・プロセスについての理解を深めるため、いくつかのシナリオを見てみましょう。一部のプロセスは環境の速度低下を招く恐れがあるため、シナリオの内容を理解し影響を把握したうえで、プロセスをスケジュールするようにしてください。

シナリオ1: HCMデータ・ローダーを使用した新規採用のインポート

• HCM Enterprise情報の管理ページの「ユーザー・アカウント作成」オプションが「個人およびパーティ・ユーザーの両方」に設定されています。この設定では、各就業者のインポート時にユーザー・アカウントが自動的に生成されます。

• HCMデータ・ローダーを使用してWorker.datファイルをインポートする方法で、新規採用をロードします。

• インポートされた各個人について、ユーザー・アカウント要求が自動的に作成されます。

次に実行すべき作業:

HCMデータ・ローダーを使用して新規採用をインポートしたら、「待ち状態のLDAP要求の送信」プロセスを実行します。このジョブでは、保留中のすべてのユーザー・アカウント作成要求がHCM CloudからLDAPディレクトリに送信されます。

禁止事項:

• すべてのユーザーの自動プロビジョニング・ロール

• 最新のLDAP変更の取得

• すべてのユーザーの個人データのLDAPへのコピー

シナリオ2: 組織におけるロール・プロビジョニング・ルールの管理に対する変更

新しいロール・プロビジョニング・ルールの追加や、既存のロール・プロビジョニング・ルールの更新など、「ロール・プロビジョニング・ルールの管理」に変更を加えます。これらの変更はロールを新規または既存のユーザーに割り当てる方法に影響を与える可能性があります。

次に実行すべき作業:

自動プロビジョニング・マッピングの更新が完了した後に、次を実行します。

• 「すべてのユーザーの自動プロビジョニング・ロール」プロセスをデフォルトのパラメータで1回実行します。

このジョブは、アクティブなユーザーと非アクティブ・ユーザーを含むすべてのユーザーを評価し、更新されたロール自動プロビジョニング・ルールに従ってロール・メンバーシップを更新します。本番環境では、このような状況においてのみ、このプロセスを実行します。

シナリオ3: 就業者のインポート後に、「ロール・プロビジョニング・ルールの管理」で自動プロビジョニング・マッピングを作成

就業者をインポートして、それらの就業者のユーザー・アカウントを作成した後に、「ロール・プロビジョニング・ルールの管理」タスクでロール・プロビジョニング・ルールを作成します。既存のユーザー・アカウントは新しいロール・プロビジョニング・ルールに照らして評価されていません。

次に実行すべき作業:

このような状況は回避しけなければいけません。就業者を一括ロードする前に、すべてのロール・プロビジョニング・ルールを作成する必要があります。少なくとも「従業員」ロール・ルールは作成しておく必要があります。

ロール・プロビジョニング・ルールが作成されたら、次を実行します。

• 「すべてのユーザーの自動プロビジョニング・ロール」プロセスをデフォルトのパラメータで1回実行します。このジョブは、アクティブなユーザーと非アクティブ・ユーザーを含むすべてのユーザーを評価し、更新されたロール自動プロビジョニング・ルールに従ってロール・メンバーシップを更新します。

シナリオ4: 従業員のマネージャ、名、姓またはEメールの手動更新

短い従業員リストに含まれる次のフィールドのいずれかを、アプリケーションを使用して更新します。

• 名

• 姓

• Eメール

• マネージャ

次に実行すべき作業:

なし。このHRトランザクションにはユーザー・プロビジョニング関連アクティビティは必要ありません。

禁止事項:

このHRトランザクションの完了後、ユーザーおよびロールのプロビジョニング・プロセスを実行またはスケジュールしないでください。

シナリオ5: 従業員のマネージャ、名、姓またはEメールの一括更新

HCMデータ・ローダーを使用して、次の従業員(就業者)フィールドを一括で更新します。

• 名

• 姓

• Eメール

• マネージャ

また、この変更を行うことで、ユーザー関連のアクティビティがさらに必要になるかどうかを把握できていません。

次に実行すべき作業:

HCMデータ・ローダーを使用して更新された就業者情報をインポートした後に、次を実行します。

• 「LDAPへの複数ユーザーの個人データの送信」プロセスを1回実行します。

  このジョブは、HCMデータ・ローダー・インポートによる個人プロファイル変更を使用してLDAPレコードを更新します。このジョブは「すべてのユーザー」モードではなく「変更済」モードで実行してください。

• Eメールが更新された場合のみ、「待ち状態のLDAP要求の送信」プロセスを実行します。これによりLDAPディレクトリが同期し続けます。

シナリオ6: 従業員のアサイメント事業所の手動更新

ジョブ事業所を変更した従業員がいます。アプリケーション・インタフェースを使用してアサイメント事業所を更新します。従業員の事業所を変更すると、ロール・アサイメントに影響する場合があります。

次に実行すべき作業:

なし。このHRトランザクションは、この従業員をロール自動プロビジョニング・ルールに照らして評価する処理を自動的に実行します。この従業員のロール・メンバーシップに変更が必要な場合、HRトランザクションを保存したときに自動的に変更されます。

禁止事項:

このHRトランザクションの完了後、ユーザーおよびロールのプロビジョニング・プロセスを実行またはスケジュールしないでください。

シナリオ7: 個人に対するジョブ・ロールの手動追加

選択された従業員にジョブ・ロールを手動で追加しましたが、LDAPディレクトリに対して他に何か実行する必要があるかどうかを把握できていません。

次に実行すべき作業:

なし。このHRトランザクションは、選択された従業員に対する保留中のLDAP要求を自動的に処理します。

禁止事項:

このHRトランザクションの完了後、ユーザーおよびロールのプロビジョニング・プロセスを実行またはスケジュールしないでください。

シナリオ8: HCMデータ・ローダーを使用して、ユーザー・アカウント作成を抑制した状態で就業者をロード

ユーザー・アカウントの作成を抑制した状態(GeneratedUserAccountFlag = N)で就業者をロードしましたが、LDAPディレクトリに対して他に何か実行する必要があるかどうかを把握できていません。

次に実行すべき作業:

なし。インポートされた就業者にはユーザー・アカウントがないため、LDAP関連プロセスを追加で実行する必要はありません。

禁止事項:

このHRトランザクションの完了後、ユーザーおよびロールのプロビジョニング・プロセスを実行またはスケジュールしないでください。

シナリオ9: HCMデータ・ローダーを使用して、既存の個人レコードに対してユーザー・アカウントを作成

ユーザー・アカウントを作成せずに就業者をロードしました。HCMデータ・ローダーを使用して、適切に準備されたUser.datファイルをインポートし、既存の就業者のユーザー・アカウントを一括で作成します。また、これと同じ方法を使用して、いくつかの手動ロールを新規ユーザー・アカウントに割り当てます。

ロールの自動プロビジョニングについて懸念があり、LDAPディレクトリに対して他に何か実行する必要があるかどうかを把握できていません。

次に実行すべき作業:

• HCMデータ・ローダーを使用してUser.datファイルをインポートしたら、「待ち状態のLDAP要求の送信」プロセスを1回実行します。

  このジョブは保留中のすべてのユーザー・アカウントおよびロール・アサイメント要求をHCMからLDAPディレクトリに送信します。すべての新規ユーザー・アカウントは、作成プロセス中に自動プロビジョニング・ルールに照らして評価されます。

禁止事項:

HCMデータ・ローダーでユーザー・アカウント要求をロードした後に、次のプロセスをスケジュールしないでください。

• すべてのユーザーの自動プロビジョニング・ロール

• 最新のLDAP変更の取得

• すべてのユーザーの個人データのLDAPへのコピー

アプリケーション・ユーザーに対するロールのプロビジョニングに関するFAQ

ロール・マッピング条件とは何ですか。

ほとんどは、ジョブや部門などのアサイメント属性です。ユーザーのアサイメントの少なくとも1つは、ユーザーが関連ロールの条件を満たすために、ロール・マッピングのすべてのアサイメント値と一致する必要があります。

HRアサイメント・ステータスとアサイメント・ステータスの違いは何ですか。

「HRアサイメント・ステータス」を使用して、条件を満たすアサイメントをアクティブまたは非アクティブにする必要があるかどうかを指定します。

「アサイメント・ステータス」を使用して、「アクティブ - 給与適格」や「休止 - 給与なし」などのサブカテゴリを指定します。

「HRアサイメント・ステータス」の値を選択すると、対応する「アサイメント・ステータス」の値が表示されます。たとえば、「HRアサイメント・ステータス」が「非アクティブ」の場合、「アサイメント・ステータス」の値には、「非アクティブ」または「休止」というプリフィクスが付きます。

ロール・マッピングでの関連ロールとは何ですか。

ユーザーにプロビジョニングしようとしているロールです。データ・ロール、抽象ロールおよびジョブ・ロールをユーザーにプロビジョニングできます。ロールは、事前定義済またはカスタムのいずれかになります。

プロビジョニング方法とは何ですか。

プロビジョニング方法は、ユーザーがロールを取得する方法を識別します。次の表では、その値について説明しています。

プロビジョニング方法	意味
自動	ユーザーは、ユーザーのアサイメント属性の値に基づいて自動的にロールの条件を満たします。
手動	別のユーザーがユーザーにロールを割り当てたか、ユーザーがロールを要求しました。
外部	ユーザーは、Oracle Applications Cloudの外部でロールを取得しました。